Redazione RHC : 12 Febbraio 2025 07:38
OpenSSL ha emesso un avviso di sicurezza invitando gli utenti ad effettuare immediatamente l’aggiornamento per mitigare il rischio critico di una vulnerabilità di sicurezza di elevata gravità. Si tratta del ( CVE-2024-12797 ) in OpenSSL, una delle librerie crittografiche più utilizzate. Il bug di sicurezza consente agli aggressori di sfruttare una falla negli handshake TLS e DTLS, consentendo potenzialmente attacchi man-in-the-middle (MITM) su connessioni vulnerabili.
La vulnerabilità riguarda le versioni 3.4, 3.3 e 3.2 di OpenSSL. Le versioni precedenti (3.1, 3.0, 1.1.1 e 1.0.2) e i moduli FIPS di OpenSSL non sono interessati.
Il problema risiede nella gestione delle chiavi pubbliche (RPK) RFC7250, un meccanismo opzionale nelle connessioni TLS/DTLS. Quando un client abilita l’uso di RPK per l’autenticazione di un server, potrebbe non riuscire a terminare l’handshake se la chiave pubblica del server non corrisponde ai valori previsti, nonostante sia impostata la modalità di verifica SSL_VERIFY_PEER. Questa omissione espone la connessione all’intercettazione da parte di un malintenzionato.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli RPK sono disabilitati per impostazione predefinita nelle implementazioni OpenSSL, ma se abilitati esplicitamente sia nella configurazione client che in quella server, potrebbe consentire agli aggressori di impersonare il server. Sfruttando questa falla, è possibile intercettare, leggere o modificare la comunicazione tra un client e un server.
OpenSSL ha rilasciato delle patch per risolvere il problema. Si consiglia agli utenti di aggiornare immediatamente le proprie librerie OpenSSL alle seguenti versioni:
Le correzioni sono state effettuate a una segnalazione di Apple Inc. di dicembre 2024. Gli amministratori di sistema e gli sviluppatori che utilizzano OpenSSL dovrebbero rivedere le loro implementazioni per determinare se gli RPK sono abilitati esplicitamente. In tal caso, l’aggiornamento alle versioni patchate è fondamentale per mitigare i potenziali rischi per la sicurezza.
Per coloro che non utilizzano attivamente gli RPK, la vulnerabilità non rappresenta una minaccia immediata, poiché gli RPK sono disabilitati di default. OpenSSL consiglia agli utenti di monitorare regolarmente la propria pagina di avviso di sicurezza per eventuali aggiornamenti aggiuntivi o dettagli tecnici.
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006